Předsedkyně Úřadu ke Dni ochrany osobních údajů
Předsedkyně Ivana Janů poskytla u příležitosti dnešního Dne ochrany osobních údajů rozhovor pro webové stránky svého Úřadu. Kromě tohoto výročí se v něm věnuje například i dopadům obecného nařízení (GDPR) či tématu budoucích sankcí.
*Co vlastně znamená Den ochrany osobních údajů a proč je důležité si ho připomínat?
Připomínání si nějaké události nebo tématu je vždy výrazem toho, že je něčemu nutné věnovat pozornost. Nejčastěji tak, že se zaujme jiný a aktivní postoj. A stejné je to i u Dne ochrany osobních údajů.
Ten si připomínáme u příležitosti prvního evropského předpisu k tomuto tématu z roku 1981 - Úmluvy rady Evropy č. 108 o ochraně osob se zřetelem na automatizované zpracování osobních dat. Bez ohledu na to, jaké základní lidské právo tento předpis provádí, je významné, čí prospěch je sledován.
Tím, komu má ochrana osobních údajů prospívat, jsme my všichni a každý z nás jednotlivě. V systému ochrany osobních údajů jsme v postavení subjektu údajů, tedy osoby dotčené zpracováním informací, které se k nám nějak vztahují. Je to tedy především den všech lidí.
Úmluva č. 108 z roku 1981 je výchozím dokumentem jednoho modelu ochrany soukromí ve spojení se zpracováním osobních údajů. Tento model je postaven na právech těch, jejichž osobní údaje někdo jiný zpracovává, na povinnostech těch, kdo údaje zpracovávají a na existenci a fungování nezávislého dozoru jako součásti veřejné moci. Proto je Den ochrany osobních údajů významný i pro všechny dozorové úřady, které působí ve všech státech, které k Úmluvě přistoupily. A samozřejmě měl by být vnímán jako významný i těmi, kdo osobní údaje zpracovávají - zejména pokud se tak děje v rámci jejich hlavní činnosti.
V této souvislosti je také vhodné se zmínit o nezávislém dozoru, který v České republice reprezentuje Úřad pro ochranu osobních údajů. Pohybujeme se ve sféře lidských práv, kde „poslední slovo“ ve sporech mají nezávislé soudy. To platí i pro ochranu osobních údajů - přístup k soudu mají jak subjekty údajů, tak správci, kteří využívají opravných prostředků proti rozhodnutí dozorových úřadů. Smysl „vloženého“ mezičlánku - nezávislého, odborně kompetentního a dostatečnými pravomocemi vybaveného dozorového úřadu, je v rychlém zjednání nápravy v případě nezákonného zasahování do práv subjektu údajů nebo porušování povinností, které jsou správcům či zpracovatelům uloženy v zájmu ochrany jako takové, tedy včetně dosahování preventivního účinku. Ten je v ochraně osobních údajů mimořádně významný i s přihlédnutím k téměř neuvěřitelné snadnosti vytváření a šíření osobních údajů, zejména po internetu, kde podle některých odborníků nelze dosáhnout stavu zlikvidování všech kopií jednou zpřístupněného údaje.
Evropský model, nebo chceme-li systém ochrany osobních údajů, přiznává subjektu údajů pouze práva. Povinnosti přímo spojené se zpracováním osobních údajů mu ovšem v jisté míře ukládají různé jiné předpisy. Tato práva svědčí všem, více však pozorným a aktivním. Všech svých práv se subjekt údajů musí aktivně chopit. Tam, kde s něčím jakoukoliv formou vyslovuje souhlas, měl by postupovat v souladu s tím, že je to úkon z jeho vůle. Práva obrátit se se stížností na úřad má využít v případě, že povinný správce nespolupracuje, nebo subjektu údajů nevyhoví, ač mu to zákon ukládá. V takové situaci je na dozorovém úřadu, aby subjekt údajů podpořil. Úkolem dozorového úřadu je ovšem současně a bez ohledu na aktivitu jednotlivých subjektů údajů působit k prosazování pravidel ochrany osobních údajů a jejich vymáhání. To platí zejména tam, kde subjekt údajů nemá zpracování pod svou kontrolou, což je zejména ve vztahu k orgánům veřejné správy a moci.
*Letošní Den ochrany osobních údajů je pochopitelně spojen hlavně s obecným nařízením o ochraně osobních údajů (GDPR). Co toto nařízení skutečně mění nebo změní v současné éře globalizovaného světa s rychle se rozvíjejícími technologiemi a elektronickými komunikacemi?
V podstatě je to docela jednoduché. Konkrétně 25. května 2018 dojde ke změně právního rámce, kterým se musí řídit všichni, kdo osobní údaje zpracovávají nad rámec vlastních, výlučně osobních nebo domácích činností a jehož se mohou při využívání a případném vymáhání svých práv subjektu údajů dovolávat úplně všichni, kdo se pohybují v Evropské unii nebo evropském hospodářském prostoru - a to jak fyzicky, tak digitálně.
Všechny změny jsou pro ty, na něž se vztahuje právní řád České republiky, skutečně dílčí. Jejich vnímání je samozřejmě velice pestré - řečeno zcela obecně - podle toho, jak dalece je kdo obeznámen s ochranou osobních údajů a jak ji provádí nebo využívá. Ti, kdo zákon o ochraně osobních údajů respektují, budou mít ve velké většině pouze novou povinnost evidovat a případně ohlašovat bezpečnostní incidenty s dopadem do osobních údajů a někteří povinnost jmenovat pověřence pro ochranu osobních údajů. Často se zapomíná na skutečnost, že v soukromém sektoru se pro povinnost pověřence jmenovat posuzují pouze hlavní činnosti správce a ne zpracování osobních údajů jako pomocnou činnost. Ti, kdo zpracovávají osobní údaje výlučně automatizovaně a na základě smlouvy se subjektem údajů nebo jeho souhlasu se zpracováním, se budou muset naučit vyrovnat s novým právem na změnu správce, tedy přenesením svých údajů k jinému správci. Mediálně i mezi odborníky tolik zdůrazňované nové právo na výmaz a na zapomenutí ovšem k novinkám nepatří. Stávající zákon o ochraně osobních údajů upravuje jemu odpovídající povinnost správců a zpracovatelů. Také povinnost přijmout bezpečnostní opatření se v ničem pro správce podléhající českému právo nezpřísňuje tak, aby to vyvolávalo potřebu dramaticky zvýšených investic do zabezpečení osobních údajů.
Idea posílení ochrany práva na ochranu osobních údajů samozřejmě našla svůj výraz také ve zpřesnění, často vyúsťujícím ve zpřísnění určitých povinností. Náhradou za oznamovací povinnost správců, která je v České republice poměrně limitovaná, je uvalení povinnosti vést interní záznamy o zpracováních prováděných správcem. Nehledě na to, že je obtížně představitelné, že by správci mohli dosud úspěšně fungovat bez toho, že mají přehled o tom, co se u nich děje, je to povinnost nepříliš zatěžující.
Souhrnně změny směřují k tomu, že správci a zpracovatelé musí být schopni prokázat, že povinnosti stanovené jim obecným nařízením o ochraně osobních údajů plní.
*Upozorňování na změnu právních předpisů upravujících ochranu osobních údajů je spojeno s určitou obavou z možných vysokých správních pokut. Jak se k sankcím postaví Úřad pro ochranu osobních údajů?
Mimořádná mediální pozornost věnovaná od poloviny roku 2016 problematice ochrany osobních údajů, nazírané z hlediska evropského předpisu v různě zdařilých zkratkách, uvádí jako jednu z klíčových novinek sjednocené, relativně vysoké sankce. Uvědomíme-li si, že nařízením se musí řídit všichni, kdo osobní údaje druhých zpracovávají, a to bez ohledu na rozsah zpracování, ekonomickou sílu a důsledky používání takových údajů, a že základní zásadou správního trestání je, že sankce musí být v každém jednotlivém případě účinné, přiměřené a odrazující, jeví se horní hranice správních pokut v jiném světle.
Správní pokuty budou ukládány podle okolností jednotlivého případu vedle nebo namísto opatření, jež jsou v pravomocech každého dozorového úřadu. V méně závažných případech, nebo pokud by pokuta představovala pro fyzickou osobu nepřiměřenou zátěž, může být namísto pokuty uloženo napomenutí.
Pro ty, kdo dnes platná pravidla ochrany osobních údajů respektují a mají v úmyslu na tom nic neměnit, není důvod k velkým obavám. Ti, kdo postavili svůj obchodní model na zpracování osobních údajů bez ohledu na základní zásady a již dnes výslovně uložené povinnosti vyplývající se současného zákona platného 17 let, by se ovšem měli obávat nejen vysokých pokut. Je totiž pravděpodobné, že příslušný dozorový úřad bude vůči nim postupovat s využitím nápravných pravomocí, které zahrnují také uložení dočasného nebo trvalého omezení zpracování nebo úplný zákaz určitého zpracování.